Services: Ochrana dat & informační bezpečnost

Rozšíření digitálního zákaznického portálu „Meine Gesundheitswelt“ (Můj svět zdraví)

Skupina společností HBSN podporuje AOK Sasko-Anhaltsko při koncepci, technickém vývoji a realizaci formulářového centra – „Formularcenter“ v rámci digitálního zákaznického portálu „Meine Gesundheitswelt“ (Můj svět zdraví).

„Meine Gesundheitswelt“ je zákazníkům AOK k dispozici od února 2020. V rámci tohoto portálu si mohou zákazníci nechat proplatit služby, které využili, prostřednictvím svého individuálního „Gesundeskonto“ (zdravotního účtu) a digitálně předkládat účtenky a faktury za případné zálohové služby pro účely vyúčtování.

Webová aplikace „Formularcenter“ je dalším prvkem digitální nabídky služeb zákazníkům společnosti AOK Sasko-Anhaltsko. Prostřednictvím „Formularcenter“ nabízí AOK svým zákazníkům velký výběr hotových formulářů pro uplatnění nároků na dávky zdravotního pojištění, jako je žádost o ošetření nebo o proplacení cestovních nákladů při ošetření. Příslušné formuláře jsou nyní pojištěncům k dispozici prostřednictvím zákaznického portálu „Meine Gesundheitswelt“.

woman sitting and holding white Acer laptop near brown wooden wall

Díky tomuto digitálnímu zákaznickému servisu odpadají pro pojištěnce složité byrokratické překážky a proces podání žádosti je jednoduchý, rychlý a zákaznicky orientovaný. AOK Sasko-Anhaltsko tímto také zároveň plní svou legislativní povinnost poskytovat občanům správní služby digitálně v souladu s německým zákonem o online přístupu (Onlinezugangsgesetz – OZG).

Pojištěnci mají přístup k formulářovému centru (Formularcenter) přímo online prostřednictvím svého individuálního zákaznického účtu a mohou požádat o příspěvky pro sebe nebo pro své rodinné příslušníky. Formuláře jsou z velké části předvyplněny již známými údaji pojištěnce. Integrované funkce nápovědy, vysvětlivky ve formě textu a vzorových obrázků k potřebným přílohám a dynamické chování formulářů zabraňují vzniku nesrovnalostí při vyplňování formulářů a usnadňují podávání žádostí a kontrolu úplnosti dokladů. K dispozici je také integrovaná funkce pro nahrávání potřebných příloh k žádosti.

Tyto pomocné funkce podporují nejen pojištěnce, ale také zaměstnance AOK Sasko-Anhaltsko při bezprostředním zpracování formulářů. Po digitálním odeslání žadateli jsou formuláře automaticky předány do evidenčního systému oscare®. Distribuci pro každý formulář definuje AOK individuálně, a tak jsou formuláře v závislosti na konfiguraci automaticky odesílány do týmových mailboxů, do elektronické složky nebo do APD oscare® pro přímé založení případu.

Požadavky na aplikaci týkající se procesních toků, datových toků a technického provedení, vypracovala a upřesnila společnost HBSN Consulting společně s AOK Sasko-Anhaltsko. Veškeré programování a technickou implementaci provedl tým xitee. Údržbu a podporu webové aplikace „Formularcenter“ nyní přebírá společně se společností xitee třetí člen skupiny společností HBSN, společnost Health-IT Services.

Technologie: Angular 11, RxJS, Jasmine, JIRA, Confluence, Bitbucket, Apache httpd, Selenium, SonarQube

Webová aplikace pro online objednávání léků

MediService AG je společnost aktivní ve zdravotním odvětví, která byla založena před 20 lety ve Švýcarsku. Hlavní oblastí businessu jsou online lékárny a péče o chronicky nemocné pacienty. Poskytované služby zahrnutí správu předpisů na léky (ve spolupráci s lékaři a poskytovateli zdravotního pojištění), online objednávání léků a jejich doručení (včetně položek které jsou dostupné jen mimo Švýcarsko) a individuální terapii pro chronicky nemocné pacienty u nich doma.

xitee vyvinula webovou aplikaci Kundenkonto. Jejím hlavním účelem je poskytnout uživatelům možnost na jednom místě spravovat lékařské předpisy, objednat léky na základě lékařského předpisu a spravovat kontaktní detaily včetně doručovacích adres.

assorted-color medication pills

Aplikace se skládá ze 2 částí:

1, Uživatelská část
a. Registrační proces
b. Login
c. Správa hesla
d. E-shop operace
i. Vybrání medikamentu na základě receptu od lékaře
ii. Zadání množství
iii. Vyplnění doručovací adresy
iv. Datum doručení
v. Souhrný přehled objednávky
vi. …..
e. Správa/Historie objednávek
f. Notifikace
g. Správa uživatelských údajů
i. E-mail
ii. Správa adres

2, Administrativní část (designováno na tablet)
a. Login
b. Správa uživatelských účtů
c. Administrace lekařských receptů

Technologie: Vaadin 10.0.4 (později jsme migrovali na Vaadin 14.), Java 8, Tomcat 8.5, Maven 4.0.0, PostgreSQL 9.6., JIRA (Atlassian)

Zajišťování kvality

Existuje šest základních bloků (Řízení verzí, Kontinuální integrace, Sledování problémů, Testování, Hodnocení, Analýza kódu), které zajišťují kvalitu softwaru, a tedy i samotného produktu. Různé synergie mezi jednotlivými částmi umožňují transparentnost a udržitelnost. Současně tyto složky fungují jako sada nástrojů pro každého jednotlivého vývojáře softwaru.

Pomocí řízení verzí (Versions control) je každá změna kódu srozumitelně zdokumentována a každou verzi lze kdykoli obnovit. To poskytuje flexibilitu při vývoji a umožňuje přesnou analýzu všech vzniklých chyb softwaru. 

Použití systému kontinuální integrace (CI – Continuous Integration) umožňuje řízenou kompilaci nových verzí softwaru a také průběžné hlášení vývojářům o případných chybách vzniklých během kompilace. Kromě toho lze automaticky generovat a reportovat klíčové údaje, které zobrazují stav produktu. Jednotlivé funkce a chyby, stejně jako milníky a úkoly projektu, jsou spravovány prostřednictvím systému pro sledování problémů (JIRA a/nebo Confluence). To vytváří sledovatelný a transparentní vývoj od analýzy požadavků až po dodání a umožňuje vytvářet vztahy mezi jednotlivými úkoly nebo funkcemi.

Interakce mezi těmito třemi systémy (Řízení verzí, Kontinuální integrace, Sledování problémů) a stejně tak interakce vývojářů s nimi přináší další výhody, které ještě více zvyšují kvalitu produktů. Veškeré změny stačí zdokumentovat pouze jednou, protože systémy pro řízení verzí, sledování problémů a CI změny automaticky přenášejí. Díky tomuto automatickému přenosu do systému sledování problémů je každá změna jednoznačně přiřazena k jednomu požadavku, což zajišťuje úplnou sledovatelnost každé akce. Vývojář získá prostřednictvím systému CI rychlou zpětnou vazbu, protože každá změna v kódu automaticky generuje novou verzi softwaru.

Použití Unit-Testů a integrace těchto testů do Systému CI umožňuje rychlou identifikaci a ladění chyb, a to i v době, kdy je software stále ve vývoji.

Kromě toho hodnocení zajišťují, aby kód viděli a testovali alespoň dva lidé předtím, než je součást schválena k dalšímu testování.

Webová aplikace pro poradenství v oblasti péče

Compass je nezávislá organizace PKV Verband der Privaten Krankenversicherung, která poskytuje poradenskou činnost v oblasti ošetřovatelské péče.

Cílem projektu bylo nahradit současný systém, který compass využívá pro dokumentaci poskytnutých konzultačních služeb, novou a moderní aplikací (webovou i mobilní), která poskytne větší uživatelskou pohodlnost a vylepší řadu služeb poskytovaných klientům compassu. Vývoj byl rozdělen do několika fází a zahrnuje také migraci ze starého řešení do nového.

woman in black leather jacket using macbook air

Náš tým pracoval na vývoji kompletně nového moderního řešení, které compassu umožňuje vylepšit a spravovat poskytování konzultanství ohledně ošetřovatelské péče tím nejefektivnějším a uživatelsky přívětivým způsobem. Díky nové aplikaci si compass může lépe nastavit a udržovat chod svého podnikání bez pravidelných IT zásahů, s benefity vycházejících z propojení s ostatními často používanými aplikacemi. Zabudované nastavení systému naviguje jednotlivé konzultanty skrz proces přičemž poskytuje moderní a uživatelsky přívětivé prostředí pro práci jak v kanceláři (web), tak i na cestách (mobil).

Projekt byl realizován hybridním způsobem řízení s kombinací klasických a agilních postupů. Hlavní aplikace byla rozdělena na jednotlivé funkce, které byly specifikovány společně s ohledem na prioritu danou společností compass. Výsledkem byl obsah backlogu pro jednotlivé pracovní balíčky. Vývoj probíhal v definovaných sprintech s cílem dodat po každém sprintu inkrement.

Intuitivní struktura systému vede poradce pro péči jako uživatele celým procesem od vytvoření nových klientů v základních údajích až po sjednávání schůzek a provádění poradenství na místě nebo po telefonu. Všestranné funkce zahrnují mimo jiné komplexní dokumentaci, fakturaci a tvorbu faktur, odesílání faxů ze systému a související systém správy dokumentů. Integrováno je také technické řešení funkce kalendáře včetně synchronizace s Outlookem. Dále bylo integrováno vyhodnocování.

Technologie: Spring Security, OAuth, JWT, Java, Gradle, Spring Boot, Hibernate, JavaScript, Angular, Swagger, Tomcat, Nginx, MS SQL DB Cluster.

Ochrana dat & informační bezpečnost

Jakákoliv informace, kterou lze označit jako „identifikující“ nebo „identifikovatelnou”, se považuje za osobní údaj. Může to být jméno, adresa, číslo karty, ale i IP adresa nebo cookie ID. Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (v angl. General Dara Protection Regulation, zkr. GDPR) se snaží najít rovnováhu mezi tím, jak zaručit jednotlivcům silnou a skutečnou ochranu, a jak zároveň zohlednit legitimní obchodní nebo veřejný zájem. Zpracování osobních údajů podléhá vždy požadavkům GDPR.

Ochrana údajů je definována jako „právní kontrola přístupu k osobním údajům a jejich používání“. Konkrétněji se GDPR týká „ochrany fyzických osob v souvislosti se zpracováním osobních údajů“. Jedná se v podstatě o soubor zákonů, předpisů a osvědčených postupů týkajících se shromažďování a používání osobních údajů o fyzických osobách. Bezpečnost informací je definována jako praxe ochrany informací (fyzických i digitálních dat) před neoprávněným přístupem, použitím, úpravou nebo narušením.

V xitee nabízíme služby, které zaručí bezpečnost i ochranu Vašich údajů.

V poslední době narůstá počet kybernetických útoků na kritické infrastruktury jako jsou např. nemocnice nebo banky. Abychom na Vašem projektu snížili vznik možných rizik na minimum, provádíme tzv. penetrační testování. Používáme hackerské metody, díky kterým identifikujeme kritická místa způsobující kompromitaci systému, únik důvěrných informací, nebo která narušují dostupnost služeb.

Kromě toho Vám doporučujeme a poskytujeme GAP analýzu, která zhodnotí Vaše procesy, činnosti a postupy s ohledem na požadavky normy ISO/IEC 27001 a identifikuje veškerá nezbytná opatření k dosažení shody s právními požadavky i volitelnou certifikací.

Revize kódu

Cílem naší služby revize zdrojového kódu je odhalit případné skryté zranitelnosti, chyby v návrhu a ověřit, zda jsou implementovány klíčové bezpečnostní kontroly. Používáme kombinaci automatických skenovacích nástrojů a ručního přezkumu, abychom zkontrolovali postupy kódování, problémy s výkonem, bezpečnostní chyby, jako jsou cross site scripting, pravidla konfigurace zabezpečení, integrované knihovny atd.

Prvním krokem procesu revize kódu je provedení analýzy daného řešení a vytvoření tzv.  profilu hrozeb.

Na tuto činnost navazuje kontrola rozvržení kódu s cílem vytvořit konkrétní plán revize kódu pro každé řešení zvlášť.

Následně obvykle používáme hybridní přístup k provádění automatického skenování i ruční revize kódu.

Po přezkoumání kódu vám poskytneme závěrečnou zprávu obsahující nalezené nedostatky a navrhovaná řešení / kroky ke zlepšení.

Gap analýza

Gap analýza odhaluje strategické a operativní nedostatky ve Vaší společnosti, které by měly být zlepšeny. Audit určuje vyspělost Vašeho zabezpečení informací na základě požadavků nejlepší praxe ISO/IEC 27001.

Provádíme audity nazvané GAP analýza, které vyhodnotí Vaše procesy, činnosti a postupy s ohledem na požadavky normy ISO/IEC 27001:2013 a určí veškerá nezbytná opatření k dosažení shody s právními požadavky i volitelné certifikace. Díky našemu strukturovanému modelu osvědčených postupů chráníme důvěrná data, zajišťujeme integritu Vašich provozních dat a zvyšujeme dostupnost Vašeho IT. Závěrečná zpráva pak obsahuje konkrétní doporučení.

Vybrané klíčové oblasti auditu podle normy ISO/IEC 27001:2013:

  • Kontext a vedení organizace (odpovědnost vedení, řízení, směrnice)
  • Plánování (včetně řízení rizik)
  • Podpora (včetně zdrojů, kompetencí, komunikace a dokumentace)
  • Provoz (provozní plánování a kontrola)
  • Hodnocení výkonnosti (monitorování, interní audity, hodnocení vedením)
  • Řízení přístupu, šifrování a fyzické zabezpečení a zabezpečení prostředí
  • Vývoj a údržba informačních systémů
  • Řízení bezpečnostních incidentů
  • Řízení kontinuity provozu
  • Dodržování předpisů
  • Průběžné zlepšování

Penetrační testování

Penetrační test je simulovaný kybernetický útok na počítačový systém klienta, jehož cílem je zjistit jeho zneužitelné zranitelnosti. V kontextu zabezpečení webových aplikací se penetrační testování běžně používá jako doplněk brány firewall webových aplikací (WAF). Výsledkem testu je zpráva o výsledku a doporučení kroků ke zlepšení.

Složité IT systémy shromažďují a zpracovávají data, která by mohla být potenciálně zneužita.  Protože obvykle existuje alespoň nějaká část systému vystavená veřejnosti, např. webový server, je nutné zajistit, aby se systémem mohli pracovat pouze oprávnění uživatelé a aby bezpečnostní opatření neumožnila neoprávněné osobě přístup k některému z prvků systému.

Bezpečnost systému se posuzuje provedením simulovaného útoku na počítačový systém. Tímto testem lze identifikovat zranitelná místa a dopady případného narušení bezpečnosti. Typickými hrozbami jsou například nefunkčnost nebo přetížení systému způsobené nadměrným využíváním jeho částí dostupných z veřejné sítě (API, webové formuláře…), únik citlivých a osobních údajů nebo neoprávněný přístup k omezeným funkcím aplikace. Mezi hlavní typy penetračních testů patří externí, interní a fyzické penetrační testy.

 Náš přístup k metodice testování:

  • PLÁNOVÁNÍ – Definování předmětu a rozsahu bezpečnostního auditu
  • SCANNING – Provedení úvodního workshopu s osobami odpovědnými za IT, bezpečnost informací a provoz příslušných IT systémů
  • ZÍSKÁNÍ PŘÍSTUPU – Provedení penetračního testování podle osvědčených a zavedených standardů, jako je například průvodce testováním OWASP. Použití osvědčených a aktuálních nástrojů a provedení doplňkových manuálních analýz/kontrol (falešně pozitivní výsledky)
  • ANALÝZA A REPORTING – Zpráva o výsledcích a prezentace s prioritními doporučenými opatřeními
  • VOLITELNĚ – Provedení následné kontroly

Výhody penetračního testování:

  • Testování a poradenství od zkušených odborníků v oboru
  • Lepší posouzení aktuální úrovně ochrany používaných IT systémů
  • Posouzení zavedených ochranných opatření
  • Snížení rizik odpovědnosti, která vyplývají z nedostatečného zabezpečení Vašich systémů
  • Doklad o splnění regulačních požadavků zavedených norem, jako je ISO/IEC 27001, oborových bezpečnostních norem a GDPR

Ochrana dat & informační bezpečnost

Jakákoliv informace, kterou lze označit jako „identifikující“ nebo „identifikovatelnou”, se považuje za osobní údaj. Může to být jméno, adresa, číslo karty, ale i IP adresa nebo cookie ID. Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (v angl. General Dara Protection Regulation, zkr. GDPR) se snaží najít rovnováhu mezi tím, jak zaručit jednotlivcům silnou a skutečnou ochranu, a jak zároveň zohlednit legitimní obchodní nebo veřejný zájem. Zpracování osobních údajů podléhá vždy požadavkům GDPR.

Ochrana údajů je definována jako „právní kontrola přístupu k osobním údajům a jejich používání“. Konkrétněji se GDPR týká „ochrany fyzických osob v souvislosti se zpracováním osobních údajů“. Jedná se v podstatě o soubor zákonů, předpisů a osvědčených postupů týkajících se shromažďování a používání osobních údajů o fyzických osobách. Bezpečnost informací je definována jako praxe ochrany informací (fyzických i digitálních dat) před neoprávněným přístupem, použitím, úpravou nebo narušením.

V xitee nabízíme služby, které zaručí bezpečnost i ochranu Vašich údajů.

V poslední době narůstá počet kybernetických útoků na kritické infrastruktury jako jsou např. nemocnice nebo banky. Abychom na Vašem projektu snížili vznik možných rizik na minimum, provádíme tzv. penetrační testování. Používáme hackerské metody, díky kterým identifikujeme kritická místa způsobující kompromitaci systému, únik důvěrných informací, nebo která narušují dostupnost služeb.

Kromě toho Vám doporučujeme a poskytujeme GAP analýzu, která zhodnotí Vaše procesy, činnosti a postupy s ohledem na požadavky normy ISO/IEC 27001 a identifikuje veškerá nezbytná opatření k dosažení shody s právními požadavky i volitelnou certifikací.